PowerShell发生多起攻击案例目标多瞄准数字货币

　　近期，腾讯御见威胁情报中心监控到利用PowerShell执行恶意代码的攻击频繁发生。此类型攻击利用受害者系统正常应用白进程调用同名资源文件来执行恶意代码，从而绕过安全软件的拦截，使受害者难以发现。

　　PowerShell结合 .NET 实施的“无文件”攻击，指攻击代码的下载和执行过程均在内存中实现，并不在系统创建攻击文件，可以有效逃避安全软件的行为拦截，致使威胁活动更加难以追踪，从而达到攻击行为便捷、有效、隐蔽的特点。借助此类攻击方式实施的窃密、挖矿、盗取用户个人财产的网络攻击行为，也给企业和个人带来严重的安全威胁。

　　入侵网站植入远程控制后门攻击者疑似Web安全从业人员

　　近日发生一起利用PowerShell执行恶意远程控制代码案例。PowerShell通过带参数执行.NET代码，对关键代码部分解码解压后可知通过申请内存，创建远线程的方式执行一段Base64编码的Shellcode。Shellcode连接服务器地址下载一个网络文件，下载的网络文件是一个PE文件，在内存中展开执行。

　　有趣的是，通过追踪溯源后发现疑似攻击者的一个网络博客，且通过博客内容可知该博主疑似安全行业从业人员。

　　(图：疑似攻击者的网络博客)

　　PowerShell下载执行木马挖取比特票严重影响用户上网体验

　　挖矿木马风行，PowerShell也成为了挖矿木马的好帮手。腾讯御见威胁情报中心捕获到利用PowerShell下载云端压缩包，最终解压出挖矿病毒文件挖取比特票的挖矿木马。木马运行后将导致受害者系统资源被大量占用，机器CPU使用率暴涨，造成系统操作卡顿，严重影响用户的上网体验。

　　(图：矿机使用的挖矿钱包当前信息)

　　PowerShell下载数字货币交易劫持木马给企业带来严重安全威胁

　　通过PowerShell下载读取云端图片，图片内藏恶意编码的Shellcode代码和攻击模块，恶意模块被加载后会默认安装恶意浏览器插件进一步实施挖矿，劫持用户数字货币交易行为。倘若该中毒电脑上进行数字虚拟货币交易，木马可以在交易瞬间将收款人钱包地址换成病毒设定的钱包地址，成功实现抢钱目的。

　　对企业而言，服务器被攻击拉起PowerShell进程执行远程恶意代码，多数情况下是由于企业自身安全意识不足，对爆出的系统漏洞和应用程序漏洞未及时进行修复，进而导致服务器被入侵，影响企业正常运转。攻击者通常是利用爆出已久的高危安全漏洞来进行攻击，其中Weblogic反序列化漏洞、MS17-010、Struts2系列漏洞都备受攻击者青睐。